応用情報をとりたくて
きたる10月、応用情報技術者試験があります。ので、それまでの二か月間でひたすらに勉強し、その内容をまとめていきたいと思います。
今回はセキュリティの過去問を解いたので、その分で出てきた単語をまとめます。
出てきた単語集(前回分)
以下に、今まで取り扱った単語を全て格納しています。
取り扱った単語集
正規分布、確率、モンテカルロ法、再帰的、再使用可能、再入可能、再配置可能、相関係数、ユークリッド互助法、 ハフマン符号化、幅優先と深さ優先探索、ディープラーニング、ベイズの定理、排他的論理和、リストの実現(配列orポインタ)、浮動小数の情報落ち、ハッシュ関数の衝突、完全二分木、ニュートン法、オイラー法、ガウスの消去法、シンプソン法、グラフと隣接行列、スタックとヒープ、BNF(バッカス・ナウア記法)、UTF-8、過学習、パリティチェック、有限オートマトン、ハミング符合、M/M/1待ち行列モデル、クイックソート、選択ソート、挿入ソート、バブルソート、BCD(Binary-coded decimal)、逆ポーランド記法、カルノー図、桁落ち、丸め誤差、情報落ち、打ち切り誤差、値呼び出しと参照呼出し、双方向リスト、シェルソート、ヒープソート、マージソート、オーバーライド、オーバーロード、カプセルか、汎化、TOF(Time of Flight)センサー、RAID0、RAID1、RAID5、RAID2、RAID3、RAID4、SIMD、VLIW、グリッドコンピューティング、レジスタ、命令レジスタ、プログラムカウンタ、ベースレジスタ、インデックスレジスタ、アキュムレータ、汎用レジスタ、パイプライン処理、メモリインターリープ、フォールトトレランス(Fault Tolerance)、フォールトアボイダンス(Fault Avoidance)、フォールトマスキング(Fault Masking)、フールプルーフ(Fool Proof)、フェールセーフ(Fail Safe)、フェールソフト(Fail Soft)、フェールオーバー(Fail Over)、フェールバック(Fail Back)、フォールバック(Fall Back)、MIMD、ウェアレベリング、マルチレベルセル、ブロックアクセス方式、スケールイン/アウト、スケールアップ/ダウン、web3層アーキテクチャ構造、密結合マルチプロセッサシステム、アウトオブオーダー実行、遅延分岐、投機実行、レジスタリネーミング、サーバコンソリデーション、キャパシティプランニング、絶対アドレス方式、相対アドレス方式、間接アドレス方式、SDXC、シンクライアント、アムダールの法則、MMU(Memory Management Unit)、スーパースカラ、スーパパイプライン、構造ハザード、制御(分岐)ハザード、データハザード、シンプロビジョニング、キャパシティプランニング、ZigBee、SAN(Storage Area Network)、磁気ディスクにおけるデータ読み取り時間、ライブマイグレーション、ホットスタンバイシステム、ハートビートバケット、ライトスルー/ライトバック、アクセス透過性、ダイレクトマップ、フルアソシエイティブ、セットアソシエイティブ、スタックポインタ、クラスタリング方式、オブジェクトストレージ、CDN(Contents Delivery network)、量子コンピュータ、ストアドプロシージャ、ラウンドロビン方式、処理時間順方式、ターンアラウンドタイム、パワーゲーティング、ページフォールト、ページイン、ページアウト、クロスコンパイラ、プロファイラ、RFID、ページング、フリップフロップ回路、OSSにおけるディストリビュータ、ガベージコレクション、FIFO/LIFO/LFU/LRU、プリエンプション方式/ノンプリエンプション方式、CS信号(チップセレクト信号)、コンバータ/インバータ、アクチュエーター、LiDAR(Light Detection And Ranging)、EJB(Enterprise JavaBeans)、セマフォ、デッドロック、アサーションチェッカ、テストカバレージ分析ツール、GPLライセンス、ウォッチドックタイマ、DSP(Digital Signal Processor)、Hadoop、デマンドページング/プリページング、フラグメンテーション、FPGA(Field Programmable Gate Array)、PWM/PAM、ビッグエンディアン/リトルエンディアン、MOSトランジスタ、スラッシング、アクセシビリティ、SMIL、レンダリング、インデックスカラー、オーバーレイ、カーニング、ディザリング、JIS X 8341-1、アンチエイリアシング、メタボール、ラジオシティ、レイトレーシング、ニモニックコード、パンくずリスト、サーフェスモデル、H.264、階層型/網型/関係データベース、ANSI/SPARC3層スキーマ(外部/概念/内部)、キー(スーパキー/候補キー/主キー)と外部キー、関数従属(部分/完全/推移的)、正規化(第一/第二/第三正規形)、差集合演算、共有ロック/専有ロック、べき等、ロールフォワード/ロールバック、分散データベースシステムにおける透過性、グラフ指向DB、CURSOR、B+木インデックス、権限付与/はく奪SQL,NoSQL、検査制約、更新可能なビュー、E-R図、データレイク、undo/redo方式、2相コミットプロトコル、データディクショナリ、ACID、CAP定理、スタースキーマ、デッドロック、CASCADE、SDN、ホストアドレス/ネットワークアドレス/ブロードキャストアドレス/サブネットマスク、フォワード/リバースプロキシ、CSMA/CD、レイヤー2スイッチ、ブリッジ、SNMP、ARP/RARP、ルート集約、ルーター、WebSocket、NAPT(IPマスカレード)、ルーティングテーブル、TCP/UDPヘッダー、PPPoE、DHCPクライアント/サーバー、DNS、IPv4におけるクラスA/B/C/D/E、IPパケット、イーサネットフレーム(MACフレーム)、SOAP(Simple Object Access protocol)、REST(Representational state transfer)、IPv6拡張ヘッダー、SSID(Service Set Identifier)、IEEE802.11gにおける2.4GHz帯の干渉、モバイル通信サービスにおけるハンドオフ、IPsec、LPWA(low power wide area)、VRRP(virtual router redundancy protocol)、ICMP(Internet Control Message Protocol)、PLC(Power Line Communication)、BLE(Bluetooth Low Energy)、NFV(Network functions virtualisation)、MIME(Multipurpose Internet mail extension)、マルチホーミング、RIP-2プロトコル、RSS、NTP(Network Time Protocol)
出てきた単語集(今回分)
クリプトジャッキング、ディレクトリトラバーサル、クロスサイトスクリプティング、SIEM、IaaS/PaaS/SaaS、ブロックチェーン、認証VLAN、共通鍵暗号方式、公開鍵暗号方式、DNSSEC、ファジング、C&Cサーバー、レインボーテーブル、SQLインジェクション、DMZ、ISMAP、WAF、ポリモーフィック型マルウェア、S/MIME、セキュアOS、ゼロデイ攻撃、クリックジャッキング、WORM、エクスプロイトコード、CAPTCHA、フットプリンティング、NCO、サイバーレスキュー隊(J-CRAT)、サーバー証明書、CRL(Certificate Revocation List)、SSH、CSIRT、SOC、PSIRT、リスクレベル、IMAPS、OP25B、サイバーセキュリティ経営ガイドライン、水飲み場型攻撃(Watering Hole Attack)、デジタルフォレンジックス、楕円曲線暗号、ブルートフォース攻撃、サブミッションポート、リスクベース認証、残留リスク、SPF(Sender Policy Framework)、SAML、AES、サイバーキルチェーン、耐タンパ性、ハイブリッド暗号方式、チャレンジレスポンス方式、キャッシュポイズニング、JVN、ハッシュ関数の性質、SMTP-AUTH、hostsファイル、オープンリダイレクト、JPCERTコーディネーションセンター、サードパーティーcookie、パケットフィルタリング、ドライブバイダウンロード、WPA2-PSK、IoTセキュリティガイドライン、プライバシーセパレーター、rootkit、OCSP、DKIM、3Dセキュア、情報セキュリティ早期警戒パートナーシップガイドライン、Main-in-the-Browser、CVE/CWE、TPM、セキュアブート、APT攻撃、CVSS、サイドチャネル攻撃、
今回分について、それぞれの用語解説
クリプトジャッキング:PCやモバイル機器に自らを取り込ませ、のっとった機器のリソースを暗号通過マイニングに使用する脅威(参考)
ディレクトリトラバーサル:外部からの入力により、親ディレクトリ配下のファイルなどの制限されたディレクトリ外にアクセス可能となる脆弱性(参考)
クロスサイトスクリプティング(XSS):webアプリケーションに信頼できないデータが入力され、これに基づいてページを動的に生成した結果、悪意あるスクリプトが実行される脆弱性。cookie漏洩につながる(参考)
SIEM(Security Information and Event Management):
SIEMとは、ファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組みです。(参考)
IaaS/PaaS/SaaS(Infrastructure/Platform/Software as a Service):クラウドサービスの提供形態を指す。IaaSは演算機能やストレージなど基礎的コンピューティングリソースが提供され、PaaSはユーザーが開発したアプリケーション実装が提供され、SaaSはクラウドインフラ環境下で稼働しているアプリケーションそのものが提供される(参考)
ブロックチェーン:ネットワーク上にある端末同士をダイレクトに接続し、暗号技術を用いて取引記録を分散的に処理・記録するデータベースの一種(分散型台帳)。複数の端末が相互に通信するP2Pネットワークも用いており、取引とハッシュ値が結びつき、改ざんが困難になっている(参考)
認証VLAN:VLANの一種で、端末のMACアドレス、ID/パスワードなどを用いて、ユーザーを特定し、あらかじめ登録されたVLANへの接続を許可する仕組み(参考)
共通鍵暗号方式:データ暗号化方式の一つ。送信側で暗号化、受信側で復号を行うが、その際の鍵が共通の方式。主流アルゴリズムは「AES」(参考)
公開鍵暗号方式:データ暗号化方式の一つ。送信側で暗号化、受信側で復号を行うが、その際の鍵が異なる方式。(参考)ステップとしては
- 受信者側で公開鍵、秘密鍵を生成し、送信側に公開鍵を送付
- 公開鍵を用いて送信側で暗号化を行い、受信側は、受信者だけが持つ秘密鍵で復号を行う
DNSSEC(DNS Security Extensions):DNSによる応答の際に、電子署名の仕組みを組み込むことで、DNS応答の出自および完全性検証を行う仕組み。具体的には、DNSへの問い合わせに対して、ドメイン名情報の記録されたリソースレコードをもとにハッシュ値を計算、秘密鍵で暗号化して返答し、ユーザー側では公開鍵をもとに復号を行うことで、改ざんの有無などを確認する仕組み(参考)
ファジング:検査対象のソフトウェアに、ファズ(fuzz)と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法(参考)
C&Cサーバー(command controlサーバー):攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためのボットネットワークをコントロールする指令サーバーのこと(参考)
レインボーテーブル:ハッシュ関数と還元関数を用いて平文を効率的に導き出すためのテーブル。具体的手段としては、平文、ハッシュ値、平文候補、という感じのチェーンを用意しておき、そのはじめと終わりを保存する。その後、漏洩したハッシュに対して、平文候補、ハッシュ化を継続し、保存している値と一致したら、そのチェーンでの処理を再度行い、漏洩ハッシュと一致する平文を取得する(参考)
SQLインジェクション:入力をそのままSQL文に入れる設計にしている場合に、意図していない入力によってSQLとして解釈され、本来アクセスできない値を返してしまう脆弱性。対策としては、入力を直にSQL文に流すのではなく、変数場所たるプレースホルダを設定しておき、そこに入力を当てはめるバインド処理を行うものがある(参考1,参考2)
DMZ(DeMilitarized Zone):非武装地帯を意味し、外部ネットワークと社内ネットワークの間にある、ファイアウォールに挟まれた緩衝エリアのこと。DMZからは外部ネットワークにのみアクセス可能にしておくことで、外部ネットワーク経由の攻撃でファイアウォールが破られても、内部ネットワークへの到達を防ぐことが出来る(参考)
ISMAP(政府情報システムのためのセキュリティ評価制度):
「政府情報システムのためのセキュリティ評価制度」(ISMAP(イスマップ):Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関等(各府省庁等及び独立行政法人等)におけるクラウドサービスの円滑な導入に資することを目的とする制度で、令和2年6月に運用を開始しました。(参考)
WAF(Web Application Firewall):webアプリケーション特有の脆弱性をつくサイバー攻撃から情報を保護するセキュリティシステムのこと。ファイアウォールがネットワークレベルの保護なのに対し、WAFはアプリケーションレベルでの保護を実施(参考)
ポリモーフィック型マルウェア:暗号化解除ルーチンがダウンロードのたびにミューテーションエンジンによって変更されるため、事前にブロックリスト登録されていても、シグネチャやヒューリスティックが微妙に異なるため検知できないマルウェア(参考)
S/MIME(Secure MIME):公開鍵暗号を応用し、電子メールの内容を暗号化したりデジタル署名を付加することのできる氷人規格の一つ(参考)
セキュアOS:強制アクセス制御(MAC:Mandatory Access Contorol)と最小特権などを組み込むことで、通常よりセキュリティを高めたOS。ISO/IEC 15408に基づいたtrusted OSなどが該当(参考)
ゼロデイ攻撃:修正されていない未知の脆弱性を用いたサイバー攻撃のこと。過去事例としては、HTTP/2ラピッドリセット攻撃などが挙げられる(参考)
クリックジャッキング:ログインしている利用者のみが利用可能な機能を提供しているサイトについて、細工された外部サイトを閲覧し操作することで、利用者が誤操作し、意図しない機能を実行させられる攻撃のこと。対策としては、HTTPレスポンスヘッダにX-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからのframe要素やiframe要素による読み込みを制限することが挙げられる。(参考)
WORM(Write Once Read Many):書き込まれたデータの不変性及び削除不可性を保証するストレージ機能のこと。ランサムウェアによる暗号化を防ぐことが可能(参考)
エクスプロイトコード:脆弱性を利用して攻撃するプログラムのこと。セキュリティ検証などに用いられる(参考)
CAPTCHA:ゆがめた画像をもとに文字列を入力させて、人間であることを認識する仕組み(参考)
フットプリンティング:サイバー攻撃に先立ち、攻撃者が標的に弱点などを探るために行う下調べ。使用しているドメインやIPアドレス、ポート番号、OS、サーバソフトウェアバージョンなど(参考)
NCO(National Cybersecurity Office):2025年7月に設立。前身は2015年のサイバーセキュリティ基本法に基づいて設立された「内閣サイバーセキュリティーセンター(NISC)」(参考)
サイバーレスキュー隊(J-CRAT):サイバー攻撃の被害の発生が予見され、その対策遅延が重大な影響を及ぼす組織などに、レスキュー活動にエスカレーションして支援を行う、経産省管轄のIPA管轄組織(参考)
サーバー証明書:認証局の発行する電子証明書のこと。(参考)
CRL(Certificate Revocation List):認証局から発行された有効期限が満了していないすべての証明書の失効情報(シリアル番号と失効日)が記載されているリスト(参考)
SSH(Secure SHell):リモートコンピュータと通信するためのプロトコル。認証情報含めネットワーク上の通信が全て暗号化されるため、安全に通信可能(参考)
CSIRT(Computer Security Incident Response Team):セキュリティインシデントが発生した際に対応するチームであり、脆弱性情報の収集と分析、インシデント発生時の対応、社内外組織との情報共有や連携を行う。SOC(Security Operation Center)は主に事前対策を行うが、CSIRTは事後対応という違いがある(参考)
SOC(Security Operation Center):各種セキュリティ装置やネットワーク機器、サーバーの監視やそれらから出力されるログの分析、サイバー攻撃を受けた場合の影響範囲の特定、サイバー攻撃を阻止するためのセキュリティ対策の立案などを実施。CSIRTとは対照的に事前対策がメイン(参考)
PSIRT(Product Security Incident Response Team):自社で製造・開発する製品やサービスを対象とし、セキュリティレベルの向上やインシデント発生時の対応を行う組織のこと。CSIRTが自組織の保護をメインとしているが、PSIRTは主に外部提供する製品やサービス保護がメイン(参考)
リスクレベル:想定されるリスクの重大さ。事象の起こりやすさと、実際に起きたときの被害の大きさなどを勘案し、低・中・高などの尺度で表現されることが多い(参考)
IMAPS(IMAP over SSL/TLS):IMAPとSSL/TLSを合わせて、やり取りする内容が暗号化されるようになったプロトコル(参考)
OP25B(outbound Port 25 Blocking):自ネットワークから外部ネットワークへのTCP25番ポートの通信を遮断することで、スパムやウイルスメールの送信を抑制する技術。一般に、スパムメールやウイルスメールは、ISPのメールサーバーを用いずに、送信先ポート25番に直接送信されるため、これをブロックすることを企図している(参考)
サイバーセキュリティ経営ガイドライン:サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべて気「重要10項目」がまとまっている、経産省作成ガイドラインのこと(参考)
水飲み場型攻撃(Watering Hole Attack):特定の組織や個人を狙った標的型攻撃の一種。標的組織のユーザが頻繁に利用する正規のWebサイトに対して悪意のあるプログラムを仕込み、ユーザーが当該サイトを訪れると自動的にマルウェア感染を引き起こすという流れ。攻撃者(肉食動物)が獲物(野生動物)の集まる場所に罠を仕掛けて待つ、というのが由来(参考)
デジタルフォレンジックス:犯罪捜査や法的紛争などで、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称(デジタル版の鑑識)(参考)
楕円曲線暗号:楕円曲線の点をもとにした公開鍵暗号方式?(参考)
ブルートフォース攻撃:IDを固定し、想定されるすべてのパスワードパターンを総当たりで入力し、不正に認証の突破を試みるサイバー攻撃手法。リバースブルートフォース攻撃の場合は、パスワードを固定してIDを総当たりする(参考)
サブミッションポート:利用者の電子メールソフトからメール送信サーバーにメールを差し出す際に用いる専用のTCPポートのこと。このポートを利用することで、OP25Bの影響を受けずに利用可能(参考)
リスクベース認証:通常のユーザー行動と異なる認証行為が発生した場合に、追加要素の認証を求める認証(参考)
残留リスク(保有リスク):リスク対策後に残るリスクのこと(参考)
SPF(Sender Policy Framework):正規のIPアドレスからメールが送信されたかどうかを認証する技術。メール送信元IPアドレスと、送信元ドメインに紐づくSPFレコードに記載されたIPアドレスとの一致で認証する。(参考)
SAML(Security Assertion Markup Language):シングルサインオンを実現する仕組みの一つ。アイデンティティプロバイダ(IdP)が認証を行い、認証後にサービスプロバイダ(SP)へSAMLアサーションと呼ばれるXMLフォーマットの認証トークンを送ることでSSOを実現する(参考)
AES(Advanced Encryption Standard):2001年にアメリカ連邦政府標準の暗号方式として採用された共通鍵暗号方式の一つ(参考)
サイバーキルチェーン:攻撃者が標的を決定し、実際に攻撃し目的を達成するまでの一連の行動を7fフェーズに分類したもの。(参考)
- 偵察
- 標的となる個人、組織の性さ
- 武器化
- エクスプロイトキットやマルウェアの作成
- デリバリー
- マルウェア添付メールや直接対象組織システムへのアクセス
- エクスプロイト
- 標的に攻撃ファイルを実行させる
- インストール
- 標的にマルウェアが感染
- C&C
- マルウェアとC&Cサーバーが通信可能となり、リモートで標的操作が可能に
- 目的の実行
- 情報搾取や改ざんなど攻撃が実行
耐タンパ性:外部から内部構造や記録されたデータなどを解析、読み取り、改ざんされにくいようになっている状態(参考)
ハイブリッド暗号方式:公開鍵暗号方式と、共通鍵暗号方式とを両立させた形式。公開鍵暗号によって共通鍵暗号の鍵を配送するもので、SSLや後継のTLSで用いられる(参考)
チャレンジレスポンス方式:サーバーからチャレンジと呼ばれる毎回異なるデータを受け取り、パスワードと合わせてハッシュ化してサーバーに送信することで、ネットワークにパスワードそのものを流さずに認証する方式(参考)
DNSキャッシュポイズニング:ユーザーがドメインを直接問い合わせるネームサーバーキャッシュを汚染する攻撃。脆弱性として、DNSメッセージ中に16bitのIDが付与されており、これが一致している場合は正常なパケットとして判断されることが原因となる。対策としては、ユーザーからネームサーバーへの再帰的問い合わせを内部ネットワーク限定とし、外部攻撃者からのアクセスを遮断することや、DNSSECによってデジタル署名検証を行うことなどがある(参考)
JVN(Japan Vulnerabillity Notes):
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。(参考)
ハッシュ関数の性質:以下の性質を求められる(参考)
- 決定性
- 同じメッセージからは同じハッシュ値が得られる
- 効率性
- 任意の長さのメッセージに対して、ハッシュ値を求める効率的アルゴリズムが存在する
- 現像計算困難性
- ハッシュ値から元のメッセージを解読することが事実上不可能
- 弱耐衝突性
- メッセージ$m_1$のハッシュ値$h$が与えられたとき、それと衝突する$m_2$を見つけることが事実上不可能
- 強耐衝突性
- ハッシュ値$h$に衝突するメッセージ$m_1, m_2$を発見することが事実上不可能
- 雪崩効果
- メッセージが少しでも変わると、ハッシュ値が大きく変わる
SMTP-AUTH:メール送信や転送に用いるプロトコルSMTPの拡張仕様の一つで、メール発送時にメールサーバーが送信依頼をしてきた相手が正規の利用者かを確認する方法を規定したもの。ID/PASSで認証してから送信を受け付ける(参考)
hostsファイル:ホスト名とIPアドレスの対応付けを行単位で記載したテキストファイルであり、'127.0.0.1 localhost'は特別なアドレス(ループバックアドレス)である(参考1,参考2)
オープンリダイレクト:webアプリケーションにおいて、外部から指定可能な任意URLへの遷移機能が含まれていること(参考)
JPCERTコーディネーションセンター:
JPCERTコーディネーションセンター(JPCERT/CC)は、インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデント*1(以下、インシデント) について、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。特定の政府機関や企業からは独立した中立の組織として、日本における情報セキュリティ対策活動の向上に積極的に取り組んでいます。(参考)
サードパーティーcookie:広告やマーケティング最適化の目的で使用される、webブラウザを通じてユーザー行動の追跡を行う技術(参考)
パケットフィルタリング:送信元IPアドレスやMACアドレスをベースにフィルタリングする方式(参考)
ドライブバイダウンロード: webサイトを経由してユーザーにウイルスを感染させる攻撃のこと(参考)
WPA2-PSK:WPA2のパーソナルモードで、アクセスポイントと端末で事前に共有した秘密の符号(パスフレーズ、Pre-Shared Key)を使って認証する方式(参考
IoTセキュリティガイドライン:IoT機器についてのセキュリティガイドライン。(参考)
プライバシーセパレーター:同じwifiルーターに接続している端末同士のアクセスを禁止する機能のこと(参考)
rootkit:システムの深いレベルで潜伏し、不正アクセスや制御を可能にするソフトウェアパッケージのこと。エクスプロイトキットはあくまで攻撃用だが、こちらは支配用のツールセット(参考)
OCSP(Online Certificate Status Protocol):TCP/IPネットワークを通じてデジタル証明書の有効性を問い合わせる手順を定めたプロトコル。証明書のシリアル番号などを問い合わせメッセージとして送り、OCSPレスポンダは有効/失効/不明の応答を返す(参考)
DKIM(DomainKeys Identified Mail):電子メールにおける送信ドメイン認証技術。メール送信の際、送信元が電子署名を行い受信者がそれを検証することで、送信者のなりすましやメールの改ざんを検知できるようにする(参考)
3Dセキュア:クレジットカード決済をより安全に行うための本人認証サービス。1.0ではIDとパスワードでの認証を毎度行うものだったが、2.0からはリスクベース認証となり、認証方法に生体認証やワンタイムパスワードなどが追加され、安全性が向上した(参考)
情報セキュリティ早期警戒パートナーシップガイドライン:発見された脆弱性情報が無関係な第三者へもれないようにしたうえで、関係者での検証・対策実施の後公表されるようにするガイドライン(参考)
Main-in-the-Browser:マルウェアに感染したブラウザを介して、ユーザーとwebサイト間の通信を傍受して改ざんする。主に、ユーザーのブラウザ内部で動作することから、通常のセキュリティ対策では検知が困難。(Man-in-the-middle攻撃の一種)(参考)
CVE/CWE (Common Vulnerabilities and Exposures/Common Weakness Enumeration):cveは世の中の脆弱性情報を一意に管理するためのID、cweは脆弱性を種類別に分類した指標(参考)
TPM(Trusted Platform Module):
トラステッド プラットフォーム モジュール (TPM) は、暗号化と暗号化解除に使用される暗号化キーを安全に格納することでセキュリティを強化するように設計された、コンピューターのマザーボード上の特殊なチップです。 これにより、オペレーティング システムとファームウェアが本物であり、改ざんされていないことが保証されます。(参考)
セキュアブート:マザーボードに内蔵されたUEFIの機能の一つで、コンピュータ起動時の安全性確保のため、デジタル署名で起動するソフトウェアを検証する機能であり、これによって悪意あるソフトウェアが起動するのを防ぐ(参考)
APT攻撃:標的型攻撃の一種であり、標的に対して持続的に行われる攻撃を指す。(持続的標的型攻撃)(参考)
CVSS:脆弱性の深刻度スコア。情報システムの脆弱性に対するオープンで汎用的評価手法(参考)
サイドチャネル攻撃:情報処理装置が符号化/復号化を行う過程で発生する物理的な現象(消費電力、熱、音など)を用いて暗号の秘密鍵を割り出す手法(参考)
まとめ
今回は、セキュリティの過去問を一通り解きました。
今までの分野と異なり、複数回登場する単語自体は少ないものの、それ以外は散発的に登場する用語ばかりなので、対策がかなり大変そうです。